• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-安全命令参考

目录

17-ND攻击防御命令

本章节下载 17-ND攻击防御命令  (99.29 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S5500/S5500-HI-D/Command/Command_Manual/H3C_S5500-HI-D_CR-Release_5101-6W100/08/201209/754424_30005_0.htm

17-ND攻击防御命令


1 ND攻击防御配置命令

1.1  ND协议报文源MAC地址一致性检查配置命令

1.1.1  ipv6 nd mac-check enable

【命令】

ipv6 nd mac-check enable

undo ipv6 nd mac-check enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

ipv6 nd mac-check enable命令用来在网关设备上使能ND协议报文源MAC地址一致性检查功能。在网关使能此功能后,会对接收的ND协议报文进行检查,如果ND协议报文中的源MAC地址和源链路层选项地址中的MAC地址不同,则丢弃该报文。undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。

缺省情况下,ND协议报文源MAC地址一致性检查功能处于关闭状态。

对于VRRP组网,目前NA回复报文的源MAC地址和源链路层选项地址中的MAC地址都是不一致的,因此对于VRRP组网不要使能ND协议报文源MAC地址一致性检查功能。

 

【举例】

# 使能ND协议报文源MAC地址一致性检查功能。

<Sysname> system-view

[Sysname] ipv6 nd mac-check enable

1.2  ND Detection配置命令

1.2.1  display ipv6 nd detection

【命令】

display ipv6 nd detection [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ipv6 nd detection命令用来显示ND Detection的配置信息。

相关配置可参考命令ipv6 nd detection enableipv6 nd detection trust

【举例】

# 显示ND Detection配置信息。

<Sysname> display ipv6 nd detection

ND detection is enabled on the following VLANs:

 1, 2, 4-5

ND detection trust is configured on the following interfaces:

 GigabitEthernet1/0/1

 GigabitEthernet1/0/2

表1-1 display ipv6 nd detection命令显示信息描述表

字段

描述

ND detection is enabled on the following VLANs

使能了ND Detection功能的VLAN

ND detection trust is configured on the following interfaces

ND信任端口列表

 

1.2.2  display ipv6 nd detection statistics

【命令】

display ipv6 nd detection statistics [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

interface interface-type interface-number:显示指定接口的统计信息。interface-type interface-number用来指定接口类型和编号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ipv6 nd detection statistics命令用来显示ND Detection进行用户合法性检查时丢弃报文的统计信息。

需要注意的是:指定接口时,只显示该接口丢弃报文的统计信息;不指定接口时,显示所有接口丢弃报文的统计信息。

【举例】

# 显示ND Detection进行用户合法性检查时丢弃报文的统计信息。

<Sysname> display ipv6 nd detection statistics

ND packets dropped by ND detection:

Interface         Packets Dropped

GE1/0/1              78

GE1/0/2              0

GE1/0/3              0

GE1/0/4              0

表1-2 display ipv6 nd detection statistics命令显示信息描述表

字段

描述

Interface

ND报文入接口

Packets Dropped

由于用户合法性检查不通过而丢弃的ND报文数目

 

1.2.3  ipv6 nd detection enable

【命令】

ipv6 nd detection enable

undo ipv6 nd detection enable

【视图】

VLAN视图

【缺省级别】

2:系统级

【参数】

【描述】

ipv6 nd detection enable命令用来使能ND Detection功能,即对ND报文进行用户合法性检查。undo ipv6 nd detection enable命令用来关闭ND Detection功能。

缺省情况下,ND Detection功能处于关闭状态。

【举例】

# 使能VLAN 10的ND Detection功能。

<Sysname> system-view

[Sysname] vlan 10

[Sysname-vlan10] ipv6 nd detection enable

1.2.4  ipv6 nd detection trust

【命令】

ipv6 nd detection trust

undo ipv6 nd detection trust

【视图】

二层以太网端口视图/二层聚合接口视图

【缺省级别】

2:系统级

【参数】

【描述】

ipv6 nd detection trust命令用来配置端口为ND信任端口。undo ipv6 nd detection trust命令用来配置端口为ND非信任端口。

缺省情况下,端口为ND非信任端口。

【举例】

# 配置二层以太网端口GigabitEthernet1/0/1为ND信任端口。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ipv6 nd detection trust

# 配置二层聚合接口Bridge-Aggregation1为ND信任端口。

<Sysname> system-view

[Sysname] interface bridge-Aggregation 1

[Sysname-Bridge-Aggregation1] ipv6 nd detection trust

1.2.5  reset ipv6 nd detection statistics

【命令】

reset ipv6 nd detection statistics [ interface interface-type interface-number ]

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

interface interface-type interface-number:表示清除指定接口的统计信息。interface-type interface-number用来指定接口类型和编号。

【描述】

reset ipv6 nd detection statistics命令用来清除ND Detection的统计信息。不指定接口时,清除所有的ND Detection统计信息。

【举例】

# 清除所有的ND Detection统计信息。

<Sysname> reset ipv6 nd detection statistics

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们